Аппаратная аутентификация на базе USB-ключей в Windows XP. Пошаговое руководство |

Что такое etoken?

eToken (рис. 1) – персональное устройство для аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронно-цифровой подписью (ЭЦП). eToken выпускается в виде:

• eToken PRO – USB-ключ, позволяющий производить двухфакторную аутентификацию. Доступен в версиях 32К и 64К.

• eToken NG-OTP – гибрид USB-ключа и устройства, генерирующего одноразовые пароли (One Time Password, OTP). Доступен в версиях 32К и 64К.

• Смарт-карта eToken PRO – устройство, выполняющее те же функции, что и USB-ключ, но имеющее форму обычной кредитной карты. Доступна в версиях 32К и 64К.

В дальнейшем мы будем говорить именно о USB-ключах, которые подключаются напрямую к USB порту компьютера и, в отличие от смарт-карты, не требует наличия специального считывателя.

Устройство eToken Pro 64K

eToken обладает защищенной энергонезависимой памятью и используется для хранения паролей, сертификатов и других секретных данных.

Для того чтобы разблокировать ваш компьютер:

Когда ваш компьютер заблокирован, появляется окно “Блокировка компьютера Computer Locked”. Подключите eToken к порту USB или кабелю. В появившемся окне введите PIN-код в поле “eToken Password”и нажмите кнопку “OK” – компьютер разблокирован.Примечание: в случае нажатия “CTRL ALT DEL”и ввода пароля компьютер будет разблокирован без использования eToken.

Описание демо-стенда

Настоящая инструкция описывает процесс настройки простейшего сценария VPN-соединения между клиентом и сервером. Построение сложных сетей в данной инструкции не рассматривается.

ПО «Единый Клиент JaCarta» — программный комплекс, предназначенный для работы со всеми моделями токенов и смарт-карт JaCarta и eToken.

Введение

В настоящее время в связи с широким распространением компьютеров все чаще приходится задумываться о безопасности обрабатываемой информации. Первым шагом в обеспечении безопасности является аутентификация законного пользователя. Чаще всего в качестве средств аутентификации используется пароль.

К тому же более 60% пользователей, как показывает практика, чаще всего использует одни и те же пароли к различным системам. Не стоит и говорить, что это существенно снижает уровень безопасности. Что делать?На мой взгляд, одним из вариантов решения проблемы будет использование аппаратных ключей аутентификации. Рассмотрим их применение подробнее на примере USB-ключей от фирмы Aladdin.

Etoken rte 3.65 rui

УстановкаДля установки eToken RTE 3.65 RUI необходимо запустить программу установки.

Рисунок 6 Установка eToken 3.65 RUI
В появившемся окне (рис. 6) нажмите кнопку “Далее”.

Pin-код

Для получения доступа к данным, хранящимся в памяти eToken, необходимо ввести PIN-код (Personal Identification Number). В PIN-коде не рекомендуется использовать пробелы и русские буквы. При этом PIN-код должен удовлетворять критериям качества, заданным в файле %systemroot%system32etcpass.ini.

Редактирование этого файла, содержащего критерии качества PIN-кода, осуществляется с помощью утилиты eToken Properties.

Token

Официальная документация гласит, что основные данные, которые существуют в операционной системе касательно привилегий пользователя хранятся в специальной структуре, которая называется Primary Token. В прошлой статье мы не останавливались подробно на части, которая описывается Se* привилегиями. Наиболее интересные привилегии, которые могут быть использованы для эскалации привилегий, вывода из строя ОС:

Каждая строка это константа, которая определяет, какие привилегии существуют в токене. В операционной системе данный из токена включены в специальную структуру, которая называется “Security Descriptor”:

В качестве подопытного процесса возьмём процесс System. Для получения адреса токена можно ввести следующую команду — dx @$cursession.Processes[4].KernelObject.Token

Токен хранится с использованием EXFAST_REF это означает, что нужно занулить последний байт, чтобы вычислить адрес токена:

Посмотрим полный список групп и привилегий у пользователя System:

Стоит обратить внимание на тот факт, что найти “Security Descriptor” можно за несколько шагов, которые представлены выше на снимке. Полный список информации о привилегиях и группах представлен ниже:

Исследуем, что будет, если мы модифицируем ссылку на токен из отладчика:

Из-за изменения токена на нулевой, произошёл BSOD. В Windows была возможность использовать нулевой токен, но всё закончилось на Windows 10 1607. Был имплементирован механизм, который вызывает BSOD, если ссылка на токен в “Security Descriptor” модифицируется. Анализ дампа показывает, что проблема в испорченном объекте:

А можем ли мы все таки произвести модификацию без BSOD? Попробуем модифицировать так, чтобы осталась возможность работать с ОС. Для проверки попробуем создать условия, при которых токен обычного пользователя включал максимальное количество привилегий:

1.Найдем системный процесс и выясним, какие привилегии у него включены:

2.Пройдем в токен cmd.exe просмотрим текущее значение на включенные права:

3.Модифицируем права. Список прав после модификации:

Модификация прошла успешно, но все равно пользователь не может аттачиться к ряду системных приложений. Из-за того, что у пользователя еще остались ограничения из-за Integrity Levels и дополнительных битов, которые запрещают взаимодействие с процессами.

А можно ли провести выставление конкретных прав у пользователя в дескрипторе? Попробуем определить. В официальной документации указываются только строковые приставления констант, попробуем переписать токен значениями: 0x1

BSOD не произошло, похоже что механизм защиты просматривает только случаи, когда испорчен заголовок объекта. Это хорошо, значит, можно брутить. Первое значение, которое показало какой-то вменяемый результат — 0x100000. 

В итоге перебора значений были получены следующие данные о константах в токене:

Получается, что хранимые привилегии это всего лишь байт в поле из 6 байт. И все действия, которые были проведены в отладчике, могут быть выполнены через shellcode, только нужно учитывать, что в эксперименте мы просто проставляли права как существующие, но для их полноценного использования их нужно еще включить. То есть записать привилегии по адресу SEPTOKEN_PRIVILEGES и _SEPTOKENPRIVILEGES 0x8.

Проведем следующий эксперимент — отнимем привилегии у процесса System и посмотрим, сможем ли мы выполнить операции, которые требуют расширенных привилегий.

В качестве теста была запущена команда netstat -ab, команда успешно отработала. Почему так произошло? Ведь все данные из токена о привилегиях были удалены. Здесь стоит вспомнить, что в ОС Windows привилегии наследуются от группы к пользователю, поэтому пока пользователь System принадлежит группам из списка ниже, он сможет продолжать использовать свои привилегии:

Ну и напоследок, шелкод, который можно использовать в качестве payload для эксплойтов из прошлой статьи:

[BITS 64]

start:
mov r9, [gs:0x188]                ;KPROCESS/currentThread
mov r9, [r9 0x220]                ;EPROCESS смещение к KTHREAD
mov r8, [r9 0x3e8]                ;InheritedFromUniqueProcessId (cmd.exe PID)
mov rax, r9                           
loop1:
  mov rax, [rax   0x2f0]       
  sub rax, 0x2f0                    ;KPROCESS
  cmp [rax   0x2e8],r8              ;сравнить ProcessId
  jne loop1                         	  
mov rcx, rax                        ;если найден нужный PID EPROCESS
add rcx, 0x360                        
mov rax, [rcx]                           
and rax, 0xFFFFFFFFFFFFFFF0
mov r8,  0x1e73deff20               ;System набор привилегий
mov [rax 0x48],r8                   ;Перезапись привилегий
ret

Автоматическая генерация пароля.

При записи профиля пользователя в память eToken пароль может генерироваться автоматически или вводиться вручную. При автоматической генерации формируется случайный, длиной до 128 символов, пароль. При этом пользователь не будет знать свой пароль и не сможет войти в сеть без ключа eToken. Требование использования только автоматически сгенерированных паролей может быть настроено как обязательное.

Блокировка вашей рабочей станции

Вы можете обеспечивать безопасность вашего компьютера, не выходя из системы, путем блокировки компьютера. При отсоединении eToken от порта USB или кабеля (после удачной регистрации) операционная система автоматически заблокирует ваш компьютер.

Вход в windows с помощью etoken

Общие сведения

eToken SecurLogon совмещает эффективную защиту сети с удобством и мобильностью. При аутентификации в Windows используются имя пользователя и пароль, хранящиеся в памяти eToken. Это даёт возможность применять строгую аутентификацию на основе токенов.

Вместе с тем хотелось бы добавить, что в крупных компаниях, использующих доменную структуру, необходимо подумать о внедрении PKI и централизованном применении SmartCardLogon.

При использовании eToken SecurLogon могут применяться никому не известные случайные сложные пароли. Кроме того, предусмотрена возможность использования сертификатов, хранящихся в памяти eToken, для регистрации на основе смарт-карт, что повышает безопасность входа в Windows.

Это стало возможным благодаря тому, что система Windows 2000/XP позволяет использовать различные механизмы доступа, заменяющие метод аутентификации по умолчанию. Механизмы идентификации и аутентификации службы входа в Windows (winlogon), обеспечивающей интерактивную регистрацию в системе, встроены в заменяемую динамически подсоединяемую библиотеку (DLL)

, именуемую GINA (Graphical Identification and Authentication, рабочий стол аутентификации). Когда система нуждается в ином методе аутентификации, который бы заменил механизм “имя пользователя/пароль” (используемый по умолчанию) стандартную msgina.dll заменяют новой библиотекой.

При установке eToken SecurLogon заменяется библиотека рабочего стола аутентификации и создаются новые параметры реестра. GINA отвечает за политику интерактивного подключения и осуществляет идентификацию и диалог с пользователем. Замена библиотеки рабочего стола аутентификации делает eToken основным механизмом проверки подлинности, расширяющим возможности стандартной аутентификации Windows 2000/XP, основанной на применении имени пользователя и пароля.

Пользователи могут самостоятельно записывать в память eToken информацию, необходимую для входа в Windows (профили), если это разрешено политикой безопасности предприятия.
Профили можно создавать с помощью мастера создания профилей eToken Windows Logon.

Приступая к работе

eToken SecurLogon аутентифицирует пользователя Windows 2000/XP/2003 c помощью eToken, используя либо сертификат пользователя со смарт-картой, либо имя пользователя и пароль, которые хранятся в памяти eToken. eToken RTE включает в себя все необходимые файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon.

Минимальные требования

Условия для установки eToken Windows Logon:

• на всех рабочих станциях должен быть установлен eToken Runtime Environment (версии 3.65 или 3.65);

• eToken SecurLogon устанавливается на компьютер с Windows 2000 (SP4), Windows XP (SP2) или Windows 2003 (SP1). eToken SecurLogon поддерживает классический диалог приветствия Windows (но не новый экран приветствия Windows XP) и не поддерживает режим быстрой смены пользователя в Windows XP.

Поддерживаемые токены

eToken SecurLogon поддерживает следующие устройства eToken:

• eToken PRO – USB-ключ, позволяющий производить двухфакторную аутентификацию. Доступен в версиях 32К и 64К;

• eToken NG-OTP – гибрид USB-ключа и устройства, генерирующего одноразовые пароли. Доступен в версиях 32К и 64К;

• смарт-карта eToken PRO – устройство, выполняющее те же функции, что и USB-ключ, но имеющее форму обычной кредитной карты. Доступна в версиях 32К и 64К.

eToken Runtime Environment (RTE)

eToken Runtime Environment (RTE) содержит все файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon. В этот набор также входит утилита “Свойства eToken” (eToken Properties), позволяющая пользователю легко управлять PIN-кодом и именем eToken.

Все новые eToken имеют один и тот же PIN-код, установленный по умолчанию при производстве. Этот PIN-код 1234567890. Для обеспечения строгой, двухфакторной аутентификации и полной функциональности пользователь обязательно должен заменить PIN-код по умолчанию собственным PIN-кодом сразу после получения нового eToken.

Важно: PIN-код не следует путать с паролем пользователя Windows.

Установка

Для того чтобы установить eToken Windows Logon:

1. войдите в систему как пользователь с правами администратора;

2. дважды щёлкните SecurLogon – 2.0.0.55.msi;

3. появится окно мастера установки eToken SecurLogon (рис. 11);

4. нажмите кнопку “Next”, появится лицензионное соглашение eToken Enterprise;

5. прочитайте соглашение, нажмите кнопку “I accept” (Принимаю), а затем кнопку “Next”;

6. в конце установки производится перезагрузка.

Автоматическая генерация пароля.

При записи профиля пользователя в память eToken пароль может генерироваться автоматически или вводиться вручную. При автоматической генерации формируется случайный, длиной до 128 символов, пароль. При этом пользователь не будет знать свой пароль и не сможет войти в сеть без ключа eToken. Требование использования только автоматически сгенерированных паролей может быть настроено как обязательное.

Использование eToken SecurLogon

eToken SecurLogon позволяет пользователям регистрироваться в Windows 2000/XP/2003 при помощи eToken с записанным в памяти паролем.

Смена пароля

Вы можете сменить пароль Windows после входа в систему при помощи eToken.
Для того чтобы сменить пароль после входа в систему при помощи eToken:

1. войдите в систему, используя eToken;

2. нажмите “CTRL ALT DEL”, появится окно “Безопасность Windows / Windows Security”;

3. Щёлкните кнопку “Смена пароля / Change Password”, если текущий пароль был создан вручную, то появится окно “Смена пароля / Change Password”, но если текущий пароль был создан случайным образом, то переходим к пункту 5;

4. Введите новый пароль в полях “Новый пароль / New Password” и “Подтверждение / Confirm New Password” и нажмите кнопку “OK”;

5. Если текущий пароль был создан случайным образом, то и новый пароль будет создан автоматически;

6. в появившемся диалоговом окне введите PIN-код eToken и нажмите кнопку “OK”

7. появится окно с подтверждающим сообщением.

Защита сеанса пользователя

Вы можете использовать eToken для обеспечения безопасности вашего рабочего сеанса.

Блокировка вашей рабочей станции

Вы можете обеспечивать безопасность вашего компьютера, не выходя из системы, путем блокировки компьютера. При отсоединении eToken от порта USB или кабеля (после удачной регистрации) операционная система автоматически заблокирует ваш компьютер.

Для того чтобы разблокировать ваш компьютер:

Когда ваш компьютер заблокирован, появляется окно “Блокировка компьютера Computer Locked”. Подключите eToken к порту USB или кабелю. В появившемся окне введите PIN-код в поле “eToken Password” и нажмите кнопку “OK” – компьютер разблокирован.
Примечание: в случае нажатия “CTRL ALT DEL” и ввода пароля компьютер будет разблокирован без использования eToken.

Другие способы получения ключей и сертификатов

Наиболее популярным способом генерации ключей и выпуска сертификатов является использование Удостоверяющего центра, например, на базе Microsoft Certification Authority. Для настройки OpenVPN этот способ генерации ключей и выпуска сертификата также подойдет.

Для сервера сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности сервера, экспортируйте их в файл PKCS#12.

В настройках серверной части OpenVPN вместо cert и key необходимо указать pkcs12:

ca C:ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРАca.crtpkcs12 C:ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРАserver.p12

Корневым сертификатом ca должен быть сертификат Удостоверяющего центра.

Настройка шаблонов для выпуска ключей и сертификатов на токен описана в инструкции к «Единому Клиенту JaCarta» и «JaCarta SecurLogon». Для клиента сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности клиента. При этом импортировать на токен файл pkcs#12 не потребуется. Остальные настройки клиентской части выполняются аналогично.

Защита сеанса пользователя

Вы можете использовать eToken для обеспечения безопасности вашего рабочего сеанса.

Использование командной строки

Для установки и удаления eToken RTE 3.65, eToken RTE 3.65 RUI и eToken RTX можно использовать командную строку.

Примеры команд:

• msiexec /qn /i <pack.msi > – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон с параметрами по умолчанию;

• msiexec /qb /i <pack.msi> – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с параметрами по умолчанию и отображением процесса установки на экране;

• msiexec /qn /x <pack.msi> – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон;

• msiexec /qb /x <pack.msi> – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с отображением процесса удаления на экране.

Первое подсоединение USB-ключа eToken к компьютеру

Если на компьютере установлен eToken RTE 3.65, подключите eToken к порту USB или к удлинительному кабелю. После этого начнётся процесс обработки нового оборудования, который может занять некоторое время. По завершении процесса обработки нового оборудования на eToken загорится световой индикатор.

Минимальные требования

Условия для установки eToken Windows Logon:

Настройка клиента

Установите ПО «Единый Клиент JaCarta» и «JaCarta SecurLogon» с официального сайта компании «Аладдин Р.Д.».

«JaCarta SecurLogon» — программное решение, обеспечивающее простой и быстрый переход от обычных паролей к двухфакторной аутентификации при входе в ОС Microsoft Windows и доступе к сетевым ресурсам по токену JaCarta.

Выберете вкладку «PKI» и проинициализируйте токен.

Инициализация ключа приведет к удалению всех данных на нем. Если на ключе есть необходимая вам информация, в том числе ключи и сертификаты для других систем, не проводите инициализацию ключа.

С помощью ПК «Единый Клиент JaCarta» импортируйте на токен файл PKCS#12, ранее сгенерированный для клиента. На токене появятся ключи и сертификат, их можно увидеть в окне «Единый Клиент JaCarta». Установите сертификат с токена в личное хранилище компьютера.

Скопируйте sha1 отпечаток личного сертификата, он потребуется для дальнейшей настройки.

Также потребуется сертификат Удостоверяющего центра, полученный в ходе настройки сервера. Установите сертификат в хранилище доверенных корневых центров сертификации, а также сохраните локально.

Отредактируйте ваш файл конфигурации клиента, задайте правильные сетевые настройки.

В поле cryptoapicert укажите отпечаток сертификата пользователя.

В поле ca укажите путь к сертификату Удостоверяющего центра.

Выдержка из конфигурационного файла:

# SSL/TLS parms.# See the server config file for more# description. It’s best to use# a separate .crt/.key file pair# for each client. A single ca# file can be used for all clients.cryptoapicert «THUMB:81 0d d6 b7 …. ОТПЕЧАТОК КЛИЕНТСКОГО СЕРТИФИКАТА»ca C:ПУТЬ К СЕРТИФИКАТУ УДОСТОВЕРЯЮЩЕГО ЦЕНТРАca.crt

Настройка сервера

Для возможности аутентификации в

OpenVPN

по цифровому сертификату необходимо, чтобы клиент и сервер имели цифровые сертификаты, выданные доверенным центром сертификации. Клиент должен доверять сертификату сервера, а сервер – сертификату клиента.

Нарушение доверия к сертификату сервера или клиента приведет к невозможности установки VPN-соединения.

Рассмотрим процесс выпуска ключей и сертификатов с использованием средств, предлагаемых самим OpenVPN.

Перейдите в каталог easy-rsa, который находится в установочной директории OpenVPN и запустите init-config.bat. В результате работы создастся файл vars.bat, который необходимо отредактировать для адаптации к вашему окружению:

set HOME=%ProgramFiles%OpenVPNeasy-rsa – задайте рабочий каталогset KEY_CONFIG=openssl-1.0.0.cnf – задайте конфигурационный файл Opensslset KEY_DIR=keys – задайте каталог для хранения ключейset KEY_SIZE=1024 – установите размер ключаset KEY_COUNTRY=US – укажите странуset KEY_PROVINCE=CA – укажите областьset KEY_CITY=SanFrancisco – укажите городset KEY_ORG=OpenVPN – укажите название организацииset [email protected] – укажите e-mailset KEY_CN=changeme – укажите общее имя (common name) set KEY_NAME=changeme – укажите имяset KEY_OU=changeme – укажите подразделение организации

Следующие секции оставьте без изменений:

set PKCS11_MODULE_PATH=changeme – путь к модулю pkcs#11set PKCS11_PIN=1234 – ПИН-код к смарт-карте

Необходимо сгенерировать ключи для TLS. Создайте пустые файлы для хранения индексов и серийных номеров. Для этого запустите (выполняется один раз):

Сгенерируйте ключ Удостоверяющего центра (выполняется один раз). Запустите:

В диалоге укажите имя желаемого Удостоверяющего центра.

Сгенерируйте файл для ключей Диффи-Хэллмана (только для сервера, выполняется один раз).

Запустите:

Сгенерируйте приватный ключ и сертификат сервера.

Запустите:

В результате будут сгенерированы ключ и сертификат с именем машины (сервера).

Теперь необходимо создать ключи и сертификаты для клиентских машин. Сгенерируйте файл PKCS#12 для каждой клиентской машины.

Для этого запустите:

В результате будет сгенерирован файл PKCS#12 с именем клиентской машины. Это нужно будет сгенерировать для каждой машины.

Отредактируйте ваш файл конфигурации сервера, задайте правильные сетевые настройки.

Обратите внимание на то, что необходимо правильно указать пути к файлам ключей и сертификатов. Выдержка из конфигурационного файла:

# Any X509 key management system can be used.# OpenVPN can also use a PKCS #12 formatted key file# (see «pkcs12» directive in man page).ca C:ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРАca.crtcert C:ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРАserver.crtkey C:ПУТЬ_К_КЛЮЧУ_СЕРВЕРАserver.key

# Diffie hellman parameters.# Generate your own with:# openssl dhparam -out dh2048.pem 2048dh C:ПУТ_К_ФАЙЛУ_ДИФФИ-ХЭЛЛМАНАdh1024.pem

Настройка тестового стенда

Для экспериментов подойдет пара виртуальных машин, которые работают по NAT сети. Две потому что нет другого способа проводить ядерную отладку операционной системы. А NAT сеть, чтобы были отладочные символы, с ними проще и быстрее искать данные без исходного кода.

1. Устанавливаем отладчик. Для операционной системы Windows есть только Windbg Preview,  установим его:

2. Переводим целевую операционную систему в отладочный режим:

Перезагружаем систему. И открываем вторую машину, которая будет содержать отладчик:

После перезагрузки системы:

Так как это Windbg Preview все настройки по загрузке и хранению отладочных символов, были выполнены автоматически. Нам остается только дождаться когда они будут полностью загружены. После этого начинаем наше исследование.

О jacarta pki

— это линейка PKI-токенов производства компании

для строгой аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров программных СКЗИ и цифровых сертификатов.

Об openvpn

OpenVPN

— свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек.

Перечень критериев

В таблице приведены критерии качества PIN-кода и указаны их настраиваемые значения. В качестве значения критерия может быть использована отрицательная величина, выраженная в процентах. Такое значение называется штрафом.

Словарь

Поддерживаемые токены

eToken SecurLogon поддерживает следующие устройства eToken:

Права доступа к etoken

В зависимости от модели eToken и параметров, выбранных при форматировании, можно выделить четыре типа прав доступа к eToken:

• гостевой – возможность просматривать объекты в открытой области памяти; возможность получения из системной области памяти общей информации относительно eToken, включающей имя eToken, идентификаторы и некоторые другие параметры. При гостевом доступе знание PIN-кода не обязательно;

• пользовательский – право просматривать, изменять и удалять объекты в закрытой, открытой и свободной областях памяти; возможность получения общей информации относительно eToken; право менять PIN-код и переименовывать eToken; право настраивать параметры кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем (при отсутствии пароля администратора или с разрешения администратора), право просмотра и удаления сертификатов в хранилище eToken и ключевых контейнеров RSA;

• администраторский – право менять PIN-код пользователя, не зная его; право смены пароля администратора; право настраивать параметры кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем, а также возможность делать эти настройки доступными в пользовательском режиме;

• инициализационный – право форматировать eToken PRO.

К eToken R2 относятся только первые два типа прав, к eToken PRO и eToken NG-OTP – все четыре.

Администраторский доступ к eToken PRO может быть произведен только после правильного ввода пароля администратора. Если же в процессе форматирования пароль администратора не задан, то обратиться с правами администратора нельзя.

Приступая к работе

eToken SecurLogon аутентифицирует пользователя Windows 2000/XP/2003 c помощью eToken, используя либо сертификат пользователя со смарт-картой, либо имя пользователя и пароль, которые хранятся в памяти eToken. eToken RTE включает в себя все необходимые файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon.

Проверка

Запустите OpenVPN на сервере и клиенте.

Если настройка выполнена правильно, появится запрос на введение ПИН-кода к токену, и VPN-соединение успешно установится.

Программное обеспечение для etoken. общие сведения.

eToken Run Time Environment 3.65

eToken Run Time Environment (eToken RTE) – набор драйверов eToken. В состав данного пакета программного обеспечения входит утилита “Свойства eToken” (eToken Properties). 
С помощью данной утилиты можно:

• настраивать параметры eToken и его драйверов;

• просматривать общую информацию относительно eToken;

• импортировать, просматривать и удалять сертификаты (за исключением сертификатов из хранилища eTokenEx) и ключевые контейнеры RSA;

• форматировать eToken PRO и eToken NG-OTP;

• настраивать критерии качества PIN-кодов.

Для установки данного программного обеспечения необходимы права локального администратора. Следует помнить, что до установки eToken RTE нельзя подключать ключ eToken.

Установку программного обеспечения необходимо проводить в следующем порядке:

1. eToken RTE 3.65;

2. eToken RTE 3.65 RUI (русификация интерфейса);

3. eToken RTX.

Регистрация в windows

Вы можете регистрироваться в системе Windows с помощью eToken, или вводя имя пользователя и пароль Windows.

Чтобы зарегистрироваться в Windows с помощью eToken:

1. Перезагрузите ваш компьютер;
2. Появится приветственное сообщение Windows;
3. Если eToken уже подсоединён, щелкните по гиперссылке Logon Using eToken (регистрация при помощи eToken). Если eToken не был подсоединён, подключите его к порту USB или кабелю. При любом методе регистрации будет отображено окно “Вход в Windows / Log On to Windows”;
4. Выберите пользователя и введите PIN-код eToken;
5. Нажмите кнопку “OK”. Вы открыли сеанс пользователя с помощью реквизитов, становленных в памяти eToken.
6. Если вы используете eToken с сертификатом пользователя со смарт-картой, то вы должны ввести только PIN-код eToken, чтобы подключиться к компьютеру.

Регистрация в Windows без eToken:

1. перезагрузите ваш компьютер, нажмите сочетание клавиш CTRL ALT DEL, появится окно “Вход в Windows / Log On to Windows”;
2. нажмите кнопку “OK” – вы вошли в систему при помощи имени пользователя и пароля.

Смена пароля

Вы можете сменить пароль Windows после входа в систему при помощи eToken.Для того чтобы сменить пароль после входа в систему при помощи eToken:

1. войдите в систему, используя eToken;
2. нажмите “CTRL ALT DEL“, появится окно “Безопасность Windows / Windows Security“;
3. Щёлкните кнопку “Смена пароля / Change Password“, если текущий пароль был создан вручную, то появится окно “Смена пароля / Change Password“, но если текущий пароль был создан случайным образом, то переходим к пункту 5;
4. Введите новый пароль в полях “Новый пароль / New Password“и “Подтверждение / Confirm New Password“и нажмите кнопку “OK“;
5. Если текущий пароль был создан случайным образом, то и новый пароль будет создан автоматически;
6. в появившемся диалоговом окне введите PIN-код eToken и нажмите кнопку “OK“
7. появится окно с подтверждающим сообщением.

Удаление вручную

В том редком случае, когда вам потребуется удалить eToken SecurLogon вручную, предпримите следующие действия:

Установка

Рисунок 2 eToken Run Time Environment 3.65 Setup

В окне (рис. 3) необходимо прочесть лицензионное соглашение и согласиться с ним.

Установка и удаление на локальном компьютере etoken rte 3.65

В окне инсталлятора необходимо прочесть лицензионное соглашение и согласиться с ним.

Если вы не согласны с условиями лицензионного соглашения, то нажмите кнопку “Cancel” и тем самым прервите процесс установки. Если вы согласны с лицензионным соглашением, то выберите пункт “I accept the license agreement” и нажмите кнопку “Next”. На экране вы увидите следующее окно:

Установка займет некоторое время.  По окончании процесса инсталляции нажмите кнопку “Finish”.

В конце установки может потребоваться перезагрузка компьютера.

Устранение общих неполадок

Вам может понадобиться произвести следующие действия для устранения общих неполадок:

Устройство etoken

Компоненты технологии eToken PRO:

• Чип смарт-карты Infineon SLE66CX322P или SLE66CX642P (EEPROM ёмкостью 32 или 64 КБ соответственно);

• ОС смарт-карты Siemens CardOS V4.2;

• Аппаратно реализованные алгоритмы: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;

• Аппаратный датчик случайных чисел;

• Контроллер USB интерфейса;

• Источник питания;

• Корпус из твёрдого пластика, не поддающийся необнаружимому вскрытию.

В устройство eToken NG-OTP дополнительно включены следующие компоненты:

• Генератор одноразовых паролей;

• Кнопка для их генерации;

• ЖК-дисплей;

Поддержка интерфейсов:

• Microsoft CryptoAPI;

• PKCS#11.

Утилита “свойства etoken”

Утилита “Свойства eToken” позволяет выполнять основные операции по управлению токенами, такие как смена паролей, просмотр информации и сертификатов, расположенных в памяти eToken. Кроме того, с помощью утилиты “Свойства eToken” можно быстро и легко переносить сертификаты между компьютером и eToken, а также импортировать ключи в память eToken.

Кнопка “Разблокировать” необходима, если пользователь забыл свой PIN-код, и не может прийти к администратору eToken (например, пользователь находится в командировке). Обратившись к администратору по e-mail, пользователь сможет получить для этого eToken от администратора шестнадцатиричный запрос, сформированный на основании данных, хранящихся в базе TMS, внеся который в поле “ответ” пользователь получит доступ на смену PIN-кода.

При смене PIN-кода необходимо чтобы новый PIN-код соответствовал требованиям качества введенного пароля. Качество пароля проверяется согласно введенным критериям.

Для того чтобы проверить соответствие пароля выбранным критериям, введите пароль в строку. Под этой строкой выводится информация о причинах несоответствия введённого пароля выбранным критериям в процентах, а также графически и в процентах условно отображается качество введённого пароля согласно выбранным критериям.